30-летний юбилей безудержной незащищенности::Журнал СА 3.2018
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6229
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6936
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4223
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3012
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3809
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3826
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6321
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3173
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3464
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7281
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12369
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9128
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7080
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5390
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4618
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3429
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3159
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3404
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3028
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 30-летний юбилей безудержной незащищенности

Архив номеров / 2018 / Выпуск №3 (184) / 30-летний юбилей безудержной незащищенности

Рубрика: Безопасность /  История проблемы

Антон Карев АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для «красной» команды правительственных хакеров, anton.barnaul.1984@mail.ru

30-летний юбилей
безудержной незащищенности

30-летний юбилей безудержной незащищенностиЕще в 1988 году легендарная хакерская плеяда L0pht заявила: «Если вы ищете кибербезопасности, то интернет – не то место, где ее можно отыскать»

Когда «черные шляпы», будучи санитарами дикого леса киберпространства, оказываются особенно успешными в своем черном деле, желтые СМИ пищат от восторга. В результате мир начинает обращать внимание на кибербезопасность. Но, к сожалению, не сразу. Поэтому, несмотря на всевозрастающее количество катастрофических киберинцидентов, мир пока еще не созрел к активным упреждающим мерам. Однако ожидается, что в ближайшем будущем благодаря «черным шляпам» мир все-таки начнет смотреть на кибербезопасность серьезно [7].

Столь же серьезно, как и на пожары… Когда-то города были очень уязвимы для катастрофических пожаров. Однако, несмотря на потенциальную опасность, упреждающие защитные меры не предпринимались – даже после гигантского пожара в Чикаго в 1871 году, унесшего сотни жизней и лишившего крова сотни тысяч людей. Упреждающие защитные меры были предприняты только после того, как подобная катастрофа повторилась вновь три года спустя. То же самое скибербезопасностью – мир не станет решать эту проблему, если не будет катастрофических инцидентов. Но, даже если такие инциденты и будут, мир не станет решать эту проблему сразу [7]. Поэтому даже поговорка «Пока баг не грянет, мужик не перепатчится» работает не вполне.

Положить интернет за 30 минут

Еще в 1988 году легендарная хакерская плеяда L0pht, выступая в полном составе перед собранием самых влиятельных западных чиновников, заявила: «Ваше компьютеризированное оборудование уязвимо для кибератак из интернета. И софт, и железо, и телекоммуникации. Их вендоров такое положение вещей совершенно не заботит. Потому что в современном законодательстве не предусмотрена какая-либо ответственность за халатный подход к обеспечению кибербезопасности производимого софта и железа. Ответственность за потенциально возможные сбои (хоть самопроизвольные, хоть вызванные вмешательством киберпреступников) лежит исключительно на пользователе оборудования. Что же касается федерального правительства, то оно для решения данной проблемы не имеет ни навыков, ни желания. Поэтому если вы ищете кибербезопасности, то интернет – не то место, где ее можно отыскать. Полностью сломать интернет и, соответственно, захватить полный контроль над завязанным на него оборудованием может каждый из семи человек, сидящих перед вами. В одиночку. 30 минут хореографического нажатия клавиш – и дело сделано» [7].

Абсолютная безопасность недостижима. Ее всегда следует рассматривать только в сопоставлении с другими приоритетами: скорость, гибкость и простота использования

Чиновники многозначительно кивнули, давая понять, что понимают всю серьезность ситуации, но так ничего и не предприняли. Сегодня, в 2018 году, спустя ровно 30 лет после легендарного выступления L0pht, в мире по-прежнему царит «безудержная незащищенность». Взлом компьютеризированного, завязанного на интернет оборудования настолько легок, что интернет, изначально представляющий собой царство идеалистически настроенных ученых и энтузиастов, постепенно оккупировали самые прагматичные из профессионалов: мошенники, аферисты, шпионы, террористы. Все они эксплуатируют уязвимости компьютеризированного оборудования для извлечения финансовой или какой-либо другой выгоды [7].

Вендоры пренебрегают кибербезопасностью

Вендоры иногда, конечно, пытаются исправить некоторые из выявленных уязвимостей, но делают это весьма неохотно. Потому что прибыль им приносит не защита от хакеров, а новая функциональность, которую они потребителям предоставляют. Будучи ориентированными исключительно на краткосрочную прибыль, вендоры вкладывают деньги только в решение реальных проблем, а не гипотетических. Кибербезопасность же, в глазах многих из них, – вещь гипотетическая [7].

Кибербезопасность – вещь невидимая, неосязаемая. Осязаемой она становится, лишь когда с ней возникают проблемы. Если же о ней хорошо позаботились (много денег на ее обеспечение потратили) и проблем с ней не возникает, переплачивать за нее конечный потребитель не захочет. Кроме того, помимо увеличения финансовых затрат, реализация защитных мер требует дополнительного времени на разработку, требует ограничения возможностей оборудования, приводит к снижению его производительности [8].

С Open Source как на пороховой бочке

Open Source-код сэкономил миллиарды в расходах на разработку софта, исключив необходимость дублированных усилий: с Open Source у программистов есть возможность пользоваться актуальными новациями без ограничений и оплаты. Open Source используется повсеместно. Даже если вы наняли разработчика софта для решения своей специализированной задачи «с нуля», этот разработчик, вероятнее всего, задействует какую-нибудь Open Source-библиотеку. И наверняка не одну. Таким образом, элементы Open Source присутствуют практически везде. Вместе с тем следует понимать, что никакой софт не является статичным, его код постоянно меняется. Поэтому принцип «разместил и забыл» для кода никогда не работает. В том числе и для Open Source-кода: рано или поздно потребуется его обновленная версия [10].

В 2016 году мы увидели последствия такого положения вещей: 28-летний разработчик ненадолго «сломал» интернет, удалив свой Open Source-код, который ранее сделал общедоступным. Эта история указывает на то, что наша киберинфраструктура очень хрупкая. Некоторые люди, на которых держатся Open Source-проекты, важны для ее поддержания настолько, что если их, не дай бог, собьет автобус, то интернет сломается.

Трудноподдерживаемый код – это именно то место, где таятся самые серьезные уязвимости кибербезопасности. Отдельные компании даже не подозревают, насколько они уязвимы из-за трудноподдерживаемого кода. Связанные с таким кодом уязвимости могут вызревать в реальную проблему очень медленно: системы медленно прогнивают, не демонстрируя в процессе этого гниения видимых сбоев. А когда они все-таки дают сбой, то последствия оказываются фатальными.

Наконец, поскольку Open Source-проекты обычно развиваются сообществом энтузиастов, вроде Линуса Торвальдса или упомянутых в начале статьи хакеров из «Клуба моделирования железной дороги», проблемы трудноподдерживаемого кода не получается решать традиционными способами (с применением коммерческих и правительственных рычагов). Потому что члены подобных сообществ своенравны и ценят свою независимость превыше всего.

В целесообразности перечисленных издержек даже собственных маркетологов убедить трудно, что уж говорить о конечных потребителях. А поскольку современных вендоров интересует исключительно краткосрочная прибыль от продаж, они совершенно не склонны брать ответственность за обеспечение кибербезопасности своих творений [1]. С другой стороны, более заботливые вендоры, которые все-таки подумали о кибербезопасности своего оборудования, сталкиваются с тем, чтокорпоративные потребители отдают предпочтение более дешевым и простым в обращении альтернативам. Таким образом, очевидно, что корпоративных потребителей кибербезопасность тоже заботит мало [8].

В сфере вышесказанного неудивительно, что вендоры склонны пренебрегать кибербезопасностью и придерживаются следующей философии: «Продолжай строить, продолжай продавать и при необходимости делай патчи. Упала система? Потерлась информация? Украдена база данных с номерами кредитных карт? В оборудовании выявлены неустранимые уязвимости? Не беда!» Потребителям же, в свою очередь, приходится следовать принципу: «Пропатчил и молись» [7].

Как это происходит: примеры из дикой природы

Яркий пример пренебрежения кибербезопасностью при разработке – корпоративная мотивационная программа Microsoft: «Выбился из сроков – с тебя штраф. Не успел представить релиз своей новации вовремя – она не будет внедрена. Не будет внедрена – не получишь акций компании (куска пирога от прибыли Microsoft)». С 1993 года Microsoft начала активно завязывать свои продукты на интернет. Поскольку данная инициатива действовала в русле этой же самой мотивационной программы, функциональные возможности расширялись быстрее, чем за ними поспевала защита. На радость прагматичным охотникам за уязвимостями [7].

Другой пример – ситуация с компьютерами и ноутбуками: они не поставляются с предустановленным антивирусом, и предустановка надежных паролей в них также не предусмотрена. Подразумевается, что устанавливать антивирус и задавать параметры конфигурации безопасности будет конечный пользователь [1].

Еще один, более экстремальный пример: ситуация с кибербезопасностью торгового оборудования (кассовые аппараты, PoS-терминалы для торговых центров и т.п.). Так повелось, что вендоры торгового оборудования продают только то, что продается, а не то, что безопасно [2]. Если вендоры торгового оборудования о чем-то и заботятся в плане кибербезопасности, так это о том, чтобы в случае возникновения спорного инцидента ответственность упала на других [3].

Кибербезопасность – вещь невидимая, неосязаемая. Осязаемой она становится, лишь когда с ней возникают проблемы

Показательный пример такого развития событий: популяризация EMV-стандарта для банковских карт, который благодаря грамотной работе банковских маркетологов выглядит в глазах неискушенной техническими знаниями публики как более безопасная альтернатива для «устаревших» магнитных карт. При этом основная мотивация банковской индустрии, которая отвечала за разработку EMV-стандарта, заключалась в том, чтобы переложить ответственность за мошеннические инциденты (случающиеся по вине кардеров) с магазинов на покупателей. Тогда как ранее (когда платежи осуществлялись магнитными картами) за расхождения в дебите/кредите финансовая ответственность лежала на магазинах [3]. Таким образом, банки, обрабатывающие платежи, сваливают ответственность либо на продавцов (которые пользуются их системами дистанционного банковского обслуживания), либо на банки, выпускающие платежные карты, двое последних, в свою очередь, перекладывают ответственность на держателя карты [2].

Вендоры препятствуют обеспечению кибербезопасности

По мере того как поверхность цифровых атак неумолимо расширяется благодаря взрывному приросту подключенных к интернету устройств, уследить за тем, что подключено к корпоративной сети, становится все тяжелее. При этом заботы о безопасности всего подключенного к интернету оборудования вендоры перекладывают на конечного пользователя [1]: «Спасение утопающих – дело рук самих утопающих».

Мало того, что вендоры не заботятся о кибербезопаснности своих творений, так они в некоторых случаях еще и препятствуют ее обеспечению. Так, например, когда в 2009 году сетевой червь Conficker просочился в медицинский центр Beth Israel и заразил там часть медицинского оборудования, технический директор этого медицинского центра в целях предотвращения возникновения подобных инцидентов в будущем решил отключить на пострадавшем от червя оборудовании функцию поддержки работы с сетью. Однако он столкнулся с тем, что «оборудование не может быть обновлено из-за нормативных ограничений». Ему потребовались значительные усилия, чтобы согласовать с вендором отключение сетевых функций [4].

Принципиальная кибернебезопасность интернета

Дэвид Кларк, легендарный профессор MIT, заслуживший своей гениальной проницательностью прозвище Альбус Дамблдор, точно помнит тот день, когда миру открылась темная сторона интернета. Кларк председательствовал в ноябре 1988 года на конференции по телекоммуникациям, когда прогремела новость о том, что по сетевым проводам скользнул первый в истории компьютерный червь. Кларку этот момент запомнился потому, что к ответственности за распространение этого червя был привлечен присутствовавший на его конференции докладчик (сотрудник одной из лидирующих телекоммуникационных компаний). Этот докладчик в пылу эмоций неосторожно обмолвился: «Вот те на! Я же вроде закрыл эту уязвимость», – за эти свои слова он и поплатился [5].

Однако позже выяснилось, что уязвимость, через которую распространился упомянутый червь, не является заслугой какого-то отдельного человека. И это, строго говоря, даже не уязвимость была, а фундаментальная особенность интернета: основатели интернета при разработке своего детища сосредоточились исключительно на скорости передачи данных и отказоустойчивости. Задачу обеспечения кибербезопасности они себе не ставили [5].

Сегодня, спустя десятилетия с момента основания интернета, когда уже сотни миллиардов долларов потрачены на тщетные попытки обеспечить кибербезопасность, интернет не стал менее уязвимым. Проблемы с его кибербезопасностью с каждым годом только усугубляются. Однако имеем ли мы право осуждать за это родоначальников интернета? Ведь, например, никто же не будет осуждать строителей скоростных автострад за то, что на «их дорогах» аварии случаются, и никто же небудет осуждать градостроителей за то, что в «их городах» ограбления происходят [5].

Как зарождалась хакерская субкультура

Хакерская субкультура зародилась в начале 1960-х годов, в «Клубе технического моделирования железной дороги» (действующем в стенах Массачусетского технологического института). Энтузиасты клуба спроектировали и собрали модель железной дороги, настолько огромную, что она заполнила собой всю комнату. Члены клуба самопроизвольно поделились на две группы: миротворцы и системщики [6].

Первые работали с надземной частью модели, вторые – с подземной. Первые собирали и разукрашивали модели поездов и городов: моделировали целый мир в миниатюре. Вторые работали над техническим обеспечением всего этого миротворчества: хитросплетение проводов, реле и координатных коммутаторов, расположенных в подземной части модели, – всем тем, что контролировало «надземную» часть и запитывало ее энергией [6].

Кибербезопасность в принудительном порядке

Скоро российских предпринимателей будут в принудительном порядке заставлять уделять серьезное внимание кибербезопасности. В январе 2017 года представитель Центра защиты информации и специальной связи Николай Мурашов заявлял, что в России одни только КИИ-объекты (критическая информационная инфраструктура) подверглись в 2016-м атакам больше 70 млн раз. К КИИ-объектам относятся информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности. Для их защиты 26 июля президентом России Владимиром Путиным был подписан пакет законов «О безопасности КИИ». К 1 января 2018 года, когда закон вступает в силу, владельцы КИИ-объектов должны реализовать комплекс мер по защите своей инфраструктуры от хакерских атак, в частности подключиться к ГосСОПКА [12].

Когда возникала проблема с трафиком, кто-то придумывал новое остроумное решение для ее устранения, это решение называли «хаком». Для членов клуба поиск новых хаков превратился в самоценный смысл жизни. Именно поэтому они стали называть себя «хакерами» [6].

Первое поколение хакеров реализовывало приобретенные в «Клубе моделирования железной дороги» навыки при написании компьютерных программ на перфокартах. Затем, когда к 1969 году в университетский городок прибыл ARPANET (предшественник интернета), его наиболее активными и квалифицированными пользователями стали именно хакеры [6].

Теперь, десятилетия спустя, современный интернет напоминает ту самую «подземную» часть модели железной дороги. Потому что его родоначальниками были эти же самые хакеры, воспитанники «Клуба моделирования железной дороги». Только хакеры теперь вместо смоделированных миниатюр орудуют реальными городами [6].

Как появилась BGP-маршрутизация

К концу 80-х в результате лавинообразного увеличения количества устройств, подключенных к интернету, последний приблизился к жесткому математическому ограничению, встроенному в один из базовых интернет-протоколов. Поэтому любая беседа тогдашних инженеров в конце концов переходила в обсуждение этой проблемы. Не были исключением и двое приятелей: Яков Рехтер (инженер из IBM) и Кирк Локхид (основатель Cisco). Случайно встретившись за обеденным столом, они начали обсуждать меры по сохранению работоспособности интернета. Возникающие идеи приятели записывали на том, что попалось под руку, – испачканной кетчупом салфетке. Затем второй. Затем третьей. «Протокол на трех салфетках», как его в шутку назвали изобретатели, известный в официальных кругах как BGP (Border Gateway Protocol – «протокол пограничной маршрутизации»), вскоре произвел революцию в интернете [8]. Для Рехтера и Локхида BGP был просто непринужденным хаком, разработанным в духе упомянутого выше «Клуба моделирования железной дороги», – временным решением, которое вскоре следовало бы заменить. Приятели разработали BGP в 1989 году. Однако сегодня, спустя уже 30 лет, преобладающая часть интернет-трафика по-прежнему маршрутизируется «протоколом на трех салфетках», несмотря на все более и более тревожные звоночки о критических проблемах с его кибербезопасностью. Временный хак стал одним из базовых интернет-протоколов, а его разработчики на собственном опыте убедились в том, что «нет ничего более постоянного, чем временные решения» [8].

Сети по всему миру перешли на BGP. Влиятельные вендоры, состоятельные клиенты и телекоммуникационные компании очень быстро полюбили BGP и привыкли к нему. Поэтому, даже несмотря на все более и более тревожные звоночки о небезопасности этого протокола, ИT-общественность так и не проявляет энтузиазма к переходу на новое, более защищенное оборудование [8].

Кибернебезопасность BGP-маршрутизации

Чем же так хороша BGP-маршрутизация и почему ИT-общественность не спешит от нее отказываться? BGP помогает маршрутизаторам принимать решения о том, куда следует направлять гигантские потоки данных, передаваемых через огромную сеть пересекающихся линий связи. BGP помогает маршрутизаторам выбирать подходящие пути, несмотря на то что сеть постоянно изменяется и на популярных маршрутах нередко образуются пробки из трафика. Проблема в том, что винтернете нет глобальной карты маршрутизации. Маршрутизаторы, использующие BGP, принимают решения о выборе того или иного пути на основе информации, полученной от соседей по киберпространству, которые, в свою очередь, собирают информацию от своих соседей и т.д. Однако эту информацию легко фальсифицировать, а значит, BGP-маршрутизация весьма уязвима для MiTM-атак [8].

Поэтому регулярно возникают вопросы вроде: «Почему трафик между двумя компьютерами в Денвере сделал гигантский крюк через Исландию?», «Почему секретные данные Пентагона однажды были переданы транзитом через Пекин?». У подобных вопросов есть технические ответы, но все они сводятся к тому факту, что работа BGP-протокола основана на доверии: на доверии к рекомендациям, полученным от соседних маршрутизаторов. Благодаря доверительной природе BGP-протокола таинственные повелители трафика при желании могут завлекать чужие потоки данных в свои владения [8].

Живой пример – BGP-атака Китая на американский Пентагон. В апреле 2010 года государственный телекоммуникационный гигант, China Telecom, отправил десяткам тысяч маршрутизаторов по всему миру, в том числе 16 тысячам из США, BGP-сообщение о наличии лучших маршрутов. В отсутствие системы, которая могла бы проверить достоверность BGP-сообщения от China Telecom, маршрутизаторы по всему миру начали отправлять данные транзитом через Пекин. В том числе трафик Пентагона и других сайтов американского министерства обороны. Легкость, с которой был перенаправлен трафик, и отсутствие эффективной защиты от подобного рода атак, – очередной звоночек небезопасности BGP-маршрутизации [8].

Протокол BGP теоретически уязвим даже для еще более опасной кибератаки. В случае если международные конфликты развернутся в киберпространстве в полную силу, China Telecom или какой-либо другой телекоммуникационный гигант мог бы попытаться объявить своими владениями участки интернета, которые на самом деле ему не принадлежат. Такой ход сбил бы с толку маршрутизаторы, которым пришлось бы метаться между конкурирующими заявками на одни и те же блоки интернет-адресов. Не имея возможности отличить достоверную заявку от поддельных, маршрутизаторы бы начали действовать хаотично. В результате мы бы столкнулись с интернет-эквивалентом ядерной войны – открытым крупномасштабным проявлением вражды. Такое развитие событий во времена относительного мира кажется нереалистичным, но технически оно вполне осуществимо [8].

Тщетная попытка перейти от BGP к BGPSEC

При разработке BGP кибербезопасность во внимание не принималась, потому что на тот момент взломы были редкими, а ущерб от них ничтожным. Перед разработчиками BGP-протокола, поскольку они работали в телекоммуникационных компаниях и были заинтересованы в продаже своего сетевого оборудования, стояла более насущная задача: избежать самопроизвольных поломок интернета. Потому что перебои в работе интернета могли оттолкнуть пользователей и тем самым снизить продажи сетевого оборудования [8].

Может быть, нас защитят спецслужбы и разработчики антивирусов?

В 2013 году стало известно, что в «Лаборатории Касперского» существует спецподразделение, осуществляющее заказные расследования инцидентов в области информационной безопасности. До января 2017 года этот отдел возглавлял бывший майор полиции Руслан Стоянов, который до этого работал в столичном Управлении «К» (УСТМ ГУВД Москвы). Все сотрудники данного спецподразделения «Лаборатории Касперского» – выходцы из правоохранительных органов, в том числе Следственного комитета и Управления «К» [11].

В конце 2016 года ФСБ арестовала Руслана Стоянова и предъявила ему объявление в государственной измене. По тому же делу арестовали Сергея Михайлова, высокопоставленного представителя ЦИБ ФСБ (центр информационной безопасности), на котором до ареста была завязана вся кибербезопасность страны [11].

После инцидента с передачей американского военного трафика через Пекин в апреле 2010 года темпы работ по обеспечению кибербезопасности BGP-маршрутизации, конечно, ускорились. Однако телекоммуникационные вендоры не проявляют большого энтузиазма к тому, чтобы нести расходы, связанные с переходом на новый безопасный протокол маршрутизации BGPSEC, предлагаемый в качестве замены небезопасного BGP. Вендоры по-прежнему считают BGP вполне приемлемым, даже несмотря на бесчисленные инциденты с перехватом трафика [8].

Радия Перлман, которую за изобретение в 1988 году (за год до появления BGP) другого важного сетевого протокола окрестили «матерью интернета», защитила в MIT докторскую диссертацию, ставшую пророческой. Перлман предсказала, что протокол маршрутизации, зависящий от честности соседей в киберпространстве, в корне не безопасен. Перлман выступала за использование криптографии, которая помогла бы ограничить возможности фальсификации. Однако внедрение BGP уже шло полным ходом, влиятельная ИT-общественность привыкла к нему и ничего не хотела менять. Поэтому после аргументированных предупреждений со стороны Перлман, Кларка и некоторых других видных мировых экспертов, относительная доля криптографически защищенной BGP-маршрутизации нисколько не увеличилась и по-прежнему составляет 0% [8].

BGP-маршрутизация – далеко не единственный хак

И ведь BGP-маршрутизация – не единственный хак, подтверждающий идею о том, что «нет ничего более постоянного, чем временные решения». Иногда интернет, погружающий нас в фантастические миры, кажется столь же элегантным, как гоночный автомобиль. Однако в действительности из-за нагроможденных друг на друга хаков интернет скорее на Франкенштейна похож, чем на «Феррари». Потому что эти хаки (которые более официально называют патчами) так и не заменяются надежными технологиями. Следствия такого подхода плачевны: ежедневно и ежечасно киберпреступники взламывают уязвимые системы, расширяя масштабы киберпреступности до немыслимых ранее пределов [8].

Многие изъяны, которые киберпреступники эксплуатируют, давным-давно известны и сохранились исключительно благодаря склонности ИТ-общественности решать возникающие проблемы временными хаками/патчами. Порой из-за этого устаревшие технологии длительное время громоздятся одна на другую, затрудняя жизнь людей и подвергая их опасности. Что бы вы подумали, если бы узнали, что ваш банк строит свое хранилище на фундаменте из соломы и грязи? Доверили бы выему хранить свои сбережения? [8]

Беззаботный настрой Линуса Торвальдса

Прошли годы, прежде чем интернет достиг своих первых ста компьютеров. Сегодня к нему подключается по 100 новых компьютеров и других устройств ежесекундно. По мере лавинообразного роста подключенных к интернету устройств растет и актуальность проблем кибербезопасности. Однако человек, который мог бы оказать наибольшее влияние на решение этих проблем, относится к обеспечению кибербезопасности с пренебрежением. Этого человека называют гением, хулиганом, духовным лидером и доброжелательным диктатором. Линус Торвальдс. Подавляющее большинство подключенных к интернету устройств работает под управлением его операционной системы Linux. Быстрая, гибкая, свободная, Linux с течением времени становится все более популярной. При этом ведет себя очень стабильно. И может работать без перезагрузки в течение многих лет. Именно поэтому Linux имеет честь быть доминирующей операционной системой. Практически все компьютеризированное оборудование, доступное нам сегодня, работает под управлением Linux: серверы, медицинское оборудование, бортовые компьютеры, крошечные дроны, военные самолеты и многое другое [9].

Linux преуспевает в основном потому, что Торвальдс делает акцент на производительности и отказоустойчивости. Однако делает он этот акцент в ущерб кибербезопасности. Даже когда киберпространство и реальный физический мир переплелись и кибербезопасность стала вопросом общепланетарного масштаба, Торвальдс продолжает противостоять внедрению безопасных новаций в свою операционную систему [9].

Поэтому даже среди многочисленных поклонников Linux растет беспокойство об уязвимостях этой операционной системы. В особенности самой интимной части Linux – его ядра, над которым Торвальдс работает лично. Поклонники Linux видят, что Торвальдс не относится к проблемам кибербезопасности серьезно. Более того, он окружил себя разработчиками, которые разделяют эту его беззаботность. Если же кто-то из ближайшего круга Торвальдса начинает разговор о внедрении безопасных новаций, его тут же предают анафеме. Одну группу таких новаторов Торвальдс уволил, назвав их «мастурбирующими обезьянами». Прощаясь с другой группой радеющих за безопасность разработчиков, Торвальдс сказал им: «Не соблаговолите ли вы убить себя. Мир от этого стал бы лучше». Когда бы речь ни заходила о добавлении функций безопасности, Торвальдс всегда был против [9]. У него в связи с этим есть даже целая философия, которая не лишена зерна здравого смысла:

«Абсолютная безопасность недостижима. Поэтому ее всегда следует рассматривать только в сопоставлении с другими приоритетами: скорость, гибкость и простота использования. Люди, которые целиком отдают себя обеспечению защиты, – безумцы. Их мышление ограниченное, черно-белое. Безопасность сама по себе бесполезна. Суть всегда находится где-то в другом месте. Поэтому вы не сможете обеспечить абсолютную безопасность, даже если сильно захотите. Конечно, естьлюди, которые уделяют безопасности больше внимания, чем Торвальдс. Однако эти ребята просто работают над тем, что им интересно, и обеспечивают безопасность в узких относительных рамках, очерчивающих эти их интересы. Не более. Так что увеличению абсолютной безопасности они никоим образом не способствуют» [9].

  1. Jonathan Millet. IoT: The Importance of Securing Your Smart Devices // 2017. URL: http://www.newsbtc.com/2017/08/14/iot-importance-securing-smart-devices/ (дата обращения: 2 января 2018).
  2. Ross Anderson. How smartcard payment systems fail // Black Hat. 2014.
  3. S.J. Murdoch. Chip and PIN is Broken // Proceedings of the IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
  4. David Talbot. Computer Viruses Are «Rampant» on Medical Devices in Hospitals // MIT Technology Review (Digital). 2012. URL: https://www.technologyreview.com/s/429616/computer-viruses-are-rampant-on-medical-devices-in-hospitals/ (дата обращения: 21 июня 2017).
  5. Craig Timberg. Net of Insecurity: A Flow in the Design // The Washington Post. 2015. URL: http://www.washingtonpost.com/sf/business/2015/05/30/net-of-insecurity-part-1/ (дата обращения: 4 января 2018).
  6. Michael Lista. He was a teenage hacker who spent his millions on cars, clothes and watches – until the FBI caught on // Toronto Life. 2018. URL: https://torontolife.com/city/crime/kid-made-millions-hacking-emails-fbi-took/ (дата обращения: 4 января 2018).
  7. Craig Timberg. Net of Insecurity: A Disaster Foretold – and Ignored // The Washington Post. 2015. URL: http://www.washingtonpost.com/sf/business/2015/06/22/net-of-insecurity-part-3 (дата обращения: 4 января 2018).
  8. Craig Timberg. The long life of a quick ‘fix’: Internet protocol from 1989 leaves data vulnerable to hijackers // The Washington Post. 2015. URL: http://www.washingtonpost.com/sf/business/2015/05/31/net-of-insecurity-part-2/ (дата обращения: 8 января 2018).
  9. Craig Timberg. Net of Insecurity: The kernel of the argument // The Washington Post. 2015. URL: http://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/ (дата обращения: 9 января 2018).
  10. Joshua Gans. Could Open-Source Code Make Our Y2K Fears Finally Come True? // Harvard Business Review (Digital). 2017. URL: https://hbr.org/2017/07/could-open-source-code-make-our-y2k-fears-finally-come-true (дата обращения: 9 января 2018).
  11. Топ-менеджер «Касперского» арестован ФСБ // CNews. 2017. URL: http://www.cnews.ru/news/top/2017-01-25_topmenedzher_kasperskogo_arestovan_fsb (дата обращения: 23 января 2018).
  12. Мария Коломыченко. Киберспецслужба: Сбербанк предложил создать штаб борьбы с хакерами // РБК. 2017. URL: http://www.rbc.ru/technology_and_media/01/09/2017/59a9799f9a7947375702db15 (дата обращения: 23 января 2018).

Ключевые слова: кибербезопасность, атаки, хакеры, трудноподдерживаемый код.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru